Java: Neuer 0-Day-Exploit – für 5000 US-Dollar verkauft
Nun muss man allerdings differenzieren und darf nicht gleich komplett Java verteufeln. Die neue 0-Day-Lücke lässt sich wohl auch nur ausnutzen, wenn ein Java-Applet im Browser aufgerufen wird. Von daher sollten Anwender Java-Plugins deaktiviert lassen, wenn sie diese nicht unbedingt brauchen. Ich hatte mir bei der letzten Lücke schon überlegt, einen Java-fähigen Browser in eine Gummizelle (virtuelle Maschine) zu legen. Für eine Sache brauche ich das Plugin im Browser und ich vergesse gerne, es wieder zu deaktivieren. Nach der erneuten Lücke, werde ich eine Mini-Distribution in eine VM legen. Eigentlich sollten java Aplets an sich in einer Sandbox laufen, aber aus dieser lässt sich wohl immer wieder ausbrechen. Verbannen wir den Sandkasten eben in einen Spielplatz – dann müsste man schon doppelt ausbrechen.
Was auch nicht bekannt ist, ob ältere Java-Versionen anfällig für die Sicherheitslücke sind. Ob OpenJDK betroffen ist … keine Ahnung … Lange Rede kurzer Sinn – Java im Browser deaktivieren, bis da Licht im Dunkel ist!!!